Forskere oppdaget en kampanje med GPU-miningmalware som sprer seg gjennom SEO-forgiftning og manipulerte anbefalinger fra AI-chatboter. Angriperne retter seg mot brukere som søker etter populære PC-verktøy som ofte brukes av gamere, utviklere og maskinvareentusiaster.
Microsoft advarte om at operasjonen kombinerer falske programvarenedlastinger, manipulerte søkeresultater og AI-assisterte spredningsteknikker for å infisere systemer med cryptojacking-malware. Kampanjen viser hvordan trusselaktører fortsetter å tilpasse social engineering-metoder til moderne nettvaner og AI-drevne søkeverktøy.
Angripere retter seg mot brukere som søker etter populær programvare
Ifølge Microsoft fokuserer kampanjen på brukere som sannsynligvis eier kraftige datamaskiner med høyytelses GPU-er. Disse systemene genererer større kryptovalutagevinster for angriperne når de først er kompromittert.
Forskere opplyste at de skadelige nettsidene utgir seg for å være legitime nedlastingssider for populære programmer, blant annet:
- CrystalDiskInfo
- HWMonitor
- Display Driver Uninstaller
- FurMark
- K-Lite Codec Pack
- PDFgear
Brukere som søker etter disse programmene kan støte på falske nettsider som blir fremhevet gjennom SEO-forgiftningskampanjer. Når brukere laster ned og kjører installasjonsfilene, installerer malwaren ytterligere skadelige komponenter i bakgrunnen.
Forskere advarte om at de falske nettsidene etterligner legitime programvareportaler svært tett, noe som gjør nedlastingene troverdige ved første øyekast.
AI-chatboter bidro til å spre malwaren
Microsofts forskere opplyste at enkelte ofre fant de skadelige nettsidene gjennom anbefalinger fra AI-chatboter. Brukere som spurte AI-assistenter hvor de kunne laste ned programvare, mottok angivelig lenker til domener kontrollert av angriperne.
Etterforskere mener angriperne manipulerte synlighet og søkerelevans på nettet for å påvirke AI-genererte svar. Kampanjen viser hvordan tradisjonelle SEO-forgiftningsteknikker nå sprer seg til AI-assisterte nettmiljøer.
Forskere advarte også om at mange brukere stoler for mye på AI-genererte anbefalinger uten å kontrollere nedlastingskilder selv.
Operasjonen viser samtidig de økende sikkerhetsrisikoene knyttet til AI-drevne søke- og anbefalingssystemer.
Malwaren bruker legitime verktøy for å beholde tilgang
Forskere opplyste at de skadelige nedlastingene vanligvis leveres som ZIP-arkiver som inneholder legitime programfiler sammen med skadelige DLL-komponenter. Når brukere starter det legitime programmet, laster Windows automatisk den skadelige DLL-filen og starter infeksjonskjeden.
Microsoft forklarte at malwaren installerer det legitime fjernadministrasjonsverktøyet ScreenConnect for å opprettholde permanent tilgang til infiserte systemer. Angriperne kan senere bruke tilgangen til å installere mer malware eller utføre ytterligere skadelige aktiviteter.
Malwaren bruker også flere teknikker for å unngå oppdagelse, blant annet:
- Process hollowing
- PowerShell-eksekvering
- Endringer i Defender-unntak
- Deteksjon av virtuelle maskiner
- Kontroller av sikkerhetsverktøy
Forskere opplyste at malwaren injiserer skadelig kode i legitime .NET-prosesser signert av Microsoft for å redusere risikoen for oppdagelse fra sikkerhetsprogramvare.
Cryptojacking-kampanjer fortsetter å utvikle seg
Forskere advarte om at GPU-miningmalware fortsatt er attraktivt for cyberkriminelle grupper fordi infiserte systemer kan generere kryptovalutainntekter over lange perioder uten å vekke mistanke.
I motsetning til ransomware-angrep unngår cryptojacking-operasjoner ofte forstyrrende oppførsel. Angriperne fokuserer i stedet på å forbli skjult samtidig som de bruker GPU-ressurser i bakgrunnen.
Ofre kan merke symptomer som:
- Tregere systemytelse
- Høyere GPU-temperaturer
- Høye kjølevifter
- Økt strømforbruk
- Systemustabilitet
Sikkerhetseksperter anbefalte brukere å laste ned programvare kun fra offisielle leverandørnettsteder. Brukere bør også unngå nedlastinger via annonser, mistenkelige søkeresultater eller ubekreftede AI-chatbotlenker.
Konklusjon
Kampanjen med GPU-miningmalware viser hvordan angripere kombinerer SEO-forgiftning og manipulering av AI-chatboter for å spre cryptojacking-malware gjennom falske programvarenedlastinger. Forskere advarte om at operasjonen spesifikt retter seg mot brukere med høyytelses-PC-er som kan generere lønnsom kryptovalutamining.
Microsoft opplyste at brukere bør kontrollere nedlastingskilder nøye og unngå å stole fullt og helt på AI-genererte anbefalinger når de søker etter programvare på nettet. Kampanjen viser også hvordan cyberkriminelle fortsetter å tilpasse tradisjonelle angrepsmetoder til moderne AI-drevne nettmiljøer.


0 responses to “GPU-miningmalware sprer seg gjennom SEO-forgiftning og AI-chatboter”